MAGERIT

1 Parte de la metodología Magerit Version 1, 2 ,3

Dimensiones de la seguridad de la Información MAGERIT

1. Integridad: Afecta directamente al correcto funcionamiento de las operaciones en la organización
2. Confidencialidad: Afecta la confianza de los demás
3. Autenticidad: Es la base para poder luchar contra el fraude
4. trazabilidad : Paso a Paso
5. disponibilidad : Afecta directamente a la productividad en las organizaciones

Objetivo proteger la información de la organización

SERIES 27000 (ISO 27001, ISO 27002, ISO 27000)

La información, en los últimos años, ha sido considerada un activo vital para el éxito de una organización, por consiguiente, se cuida mucho su manejo y uso, ya que, de esto dependerá si una organización permanece o no en un mercado.

Las organizaciones más famosas e importantes en el mundo tienen como objetivó primordial siempre, el aseguramiento de la información que poseen y de los sistemas que la procesan. Por lo tanto, buscan un sistema que gestione la seguridad de la información de forma metódica, documentada y que se base en unos objetivos claros de seguridad tanto en la evaluación de los riesgos, como en los controles a utilizar para proteger la información.

ISO/IEC 27001 es un conjunto de estándares desarrollados por International Organization for Standardization (ISO) e International Electrotechnical Commission (IEC) que brindan un Marco de gestión de la seguridad de la información, ahora este sistema del que se basa toda la norma internacional, puede llegar a ser utilizado por cualquier tipo de organización ya sea esta pública o privada, grande o pequeña.

Origen

La British Standards Institution (BSI) fundada en 1901, es considerada la primera entidad de normalización a nivel mundial y es responsable de la publicación de importantes normas como:

• BS 5750 publicada en 1979 - Ahora ISO 9001
• BS 7750 publicada en 1992 - Ahora ISO 14001
• BS 88000 publicada en 1996 - Ahora OHSAS 18001

La BS 7799 de BSI aparece por primera vez en 1995 y su objetivo era brindar una guía de buenas prácticas para las empresas británicas en la gestión de la seguridad de la información. Ahora, la BS 7799 aunque brinda unas muy buenas prácticas no establece un esquema de certificación. Por lo tanto, fue necesario publicar la BS 7799-2 de 1998, la cual si establece los requisitos que debe tener un sistema de gestión de la seguridad de la Información (SGSI) para ser certificable por una entidad Independiente.

Las dos partes de las Normas BS 7799 se revisaron a detalle en 1999 y la primera parte fue adoptada por ISO, sin hacer ningún cambio principal o relevante a la publicación inicial, y fue conocida en el año 2000 como ISO 17799.

En 2002 se volvió a revisar la BS 7799-2 para ser adecuada como norma ISO, y en 2005 con más de 1700 empresas certificadas en BS7799-2, se publicó por ISO como estándar ISO 27001, también al mismo tiempo se analizó y actualizo la ISO 17799 originando que se renombrara como ISO 27002 en 2005 y se publicó oficialmente el 1 de julio de 2007.

27000 SERIES

La 27000 es una serie de estándares que contienen las mejores prácticas recomendadas en seguridad de la información.

• ISO 27000 se encuentra en fase de desarrollo y su objetivo principal es brindar un vocabulario para la (SGSI) con el fin de evitar distintas interpretaciones de conceptos técnicos. Esta norma está prevista que sea gratuita.

• ISO 27001 es la norma principal de la serie, fue publicada en 2005 y es la norma a la cual se certifican los auditores externos a los (SGSI de las organizaciones), sustituyo la BS 7799-2. Por lo tanto, estableció una condición de transición para aquellas empresas u organizaciones que se encontraban certificadas en la BS 7799-2 que eran alrededor de 1700.

• ISO 27002 fue publicada en 2007 pero mantiene la actualización y edición que se hizo en el 2005. Es una guía de buenas prácticas para los sistemas de gestión de la seguridad de la información. Por lo tanto, plantea los objetivos de calidad y controles a la seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles agrupados en 11 dominios.

“La serie 27000 enumeradas por ISO van desde la 27000 a 27019 y de 27030 a 27044.”

Enlaces

https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_13.swf

(COBIT): Control Objectives for Information and related Technology

COBIT a nivel mundial es conocido por ser un Marco Aplicable para las buenas practicas de control, seguridad y gobierno corporativo. Sin embargo, la aparición es un principio de este marco fue fortalecer el Ambiente de control de las Tecnologías de información (TI) dado que estas son las que soportan las operaciones de las empresas, y las estructuras de gobierno.

A través de los años COBIT ha evolucionado convirtiéndose hoy en día en el marco mejor aplicable para controlar y supervisar las tecnologías de información (TI) y es apoyado por ISACA (Information Systems Audit and Control Asssociation), que actualmente solo apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoria y control en sistemas de información.

Las certificaciones que actualmente brinda ISACA y que mejoran su credibilidad profesional son:

CISA: Es el estándar aceptado para las personas que saben controlar supervisar y evaluar los sistemas de tecnologías de información.

CISM: Es el estándar aceptado para las personas que saben diseñar construir y gestionar la información de seguridad de las empresas. Por tanto, es considerada la principal certificación para administradores de seguridad de la información.

CGEIT: Es la certificación que proporciona credibilidad a la persona para discutir temas críticos en torno a la gobernabilidad y la alineación estratégica basada en su experiencia reconocidas habilidades, el conocimiento y los negocios.

CSX: Es una certificación que se basa en el rendimiento. Por Lo tanto, no analiza simplemente conocimientos y teorías sino que pone a prueba estas habilidades adquiridas en la vida real para así certificar si efectivamente es una persona que conoce las ultimas normas de seguridad cibernética, y ofrece a los empleados la confianza de que el empleado logra realizar hasta las tareas mas exigentes.


COBIT aunque actualmente presenta el apoyo y respaldo de la ISACA se fundamenta en los objetivos de control definidos por la “Information Systems Audit and Control Foundation” (ISACF) y los ha venido mejorando a partir de estándares internacionales técnicos, profesionales, regulatorios y específicos para la industria. Ahora, los objetivos de control para la información finales que nos presenta COBIT: Brindan buenas practicas pero atreves de un marco de trabajo de dominios y procesos, y presenta las actividades de una estructura manejable y lógica. Por lo tanto, los expertos analistas de COBIT han concluido que si se aplica de la manera correcta en las empresas, lograra optimizar las inversiones habilitadas por (TI) y brindaran una medida de control la cual servirá para examinar cuando las cosas no van bien.

El desarrollo y enfoques que ha venido teniendo COBIT: 

          Cubo COBIT

Actualmente esta guía de mejores practicas presentado como Framework o infraestructura digital y que esta dirigida al control y supervisión de (TI) presenta 3 niveles: 

• Nivel estratégico: Se explica por que el Gobierno de tecnología de información es importante, así como cuales son sus interese y responsabilidades para su administración 

Gobierno TI necesita cada vez mas:

1. Alineación estratégica
2. Entrega de valor
3. Administración de recursos
4. Administración de riesgos
5. Medición de desempeño 

• Nivel Táctico: Se utilizan herramientas para ayudar a asignar responsabilidades y medir el desempeño 
• Nivel operativo: Brinda una relación de los requerimientos de control de alto nivel que deben ser considerados por la dirección de (TI), para un control efectivo de sus procesos y finalmente brinda una guía para saber organizar los objetivos de gobierno y las buenas practicas de (TI) 

Desde el momento que es implementado COBIT en una empresa este pretende cumplir con unos principios básicos que son:

• Satisfacer las necesidades de las partes interesadas: Impulsa los objetivos del gobierno pero claramente identifica y comunica los riesgos que pueden llegar a ocurrir si se persiguen ciertos objetivos que no son tan relevantes o confiables

• Cubrir la compañía de forma integral: Integra el gobierno de la TI Propuesto por COBIT 5  en el gobierno corporativo de la empresa garantizando de esta forma que todas las areas de la empresa se familiaricen con COBIT.

• Aplicar un solo marco integrado: COBIT 5 esta actualmente alineado con los últimos marcos y normas mas relevantes usadas por las organizaciones.

1. COSO, Coso ERM, ISO/IEC9000, ISO/IEC31000

Enlaces

http://www.javeriana.edu.co/personales/hbermude/Audire/jarb.pdf

http://www.isaca.org/cobit/pages/default.aspx

     

COSO

El Committe of Sponsoring Organizations of the Treadway Commissions (COSO) es una Iniciativa conjunta de las cinco organizaciones del sector privado conocidas como:

1. American Accounting Association (AAA)
2. American Institute of Certified Public Accountants (AICPA)
3. Financial Executives International (FEI)
4. The Association of Accountants and Financial Professionals in Business (IMA)
5. The Institute of Internal Auditors (IIA)

Las organizaciones mencionadas presentaron una iniciativa orientada a la elaboración de marcos en temas de gestión de riesgos empresariales, el control interno y la disuasión del fraude. El objetivo que persiguen las organizaciones con la iniciativa mencionada es:

1.  Mejorar el rendimiento de las organizaciones y el gobierno.
2.  Reducir el fraude para el logro de objetivos.

La Iniciativa Independiente del sector privado (COSO) se organizó oficialmente en 1985 y a medida que pasan los años esta Organización sea a convertido en un líder reconocido en el mercado global dado que han contribuido al desarrollo y orientación de las áreas de riesgo y control reduciendo de esta manera el fraude empresarial. Sin embargo, la presente Iniciativa no solamente brindo recomendaciones para las empresas sino que también ayuda a los auditores independientes, otros reguladores y las instituciones educativas.

El Committee of Sponsoring Organizations of the Treadway Commission público en 1992 el marco de control denominado (COSO 1) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno. La metodología que propuso la Iniciativa independiente del sector privado fue un éxito y desde entonces esta se incorporó en las políticas, reglas y regulaciones. Sin olvidar que ha sido utilizada por muchas empresas para mejorar sus actividades de control hacia el logro de sus objetivos

Componentes del CONTROL INTERNO

El control interno presenta unos conceptos básicos: Los componentes interrelacionados que lo integran, las aserciones de la dirección, la determinación de la materialidad, y las limitaciones del control interno, las dos primeras se estudian con:

Coso 1- 1992

• Entorno de control: se define como el ideario general de la entidad y es asimilable a la cultura de la organización

• Evaluación de los riesgos: la entidad debe conocer y abordar los riesgos a los que se enfrenta Los objetivos de la evaluación de riesgos se pueden agrupar en tres grandes categorías:

1. Objetivos relacionados con las operaciones
2. Objetivos relacionados con la información financiera
3. Objetivos de cumplimiento

• Actividades de control: La finalidad de este componente es asegurar que se cumplan las directrices de la dirección y así lograr hacer frente a los riesgos que afectan a la actividad de la organización y a la consecución de sus objetivos.

• Información y comunicación: Es un sistema receptor- emisor que genera asesoramiento para la toma de decisiones, utilizando las técnicas y procedimientos adecuados de captación.

• Supervisión: Este componente se necesita para evaluar y vigilar la efectividad de los controles aplicados

El 29 de septiembre del 2004 se modificó el marco de control original y apareció el Marco de
Control denominado (Coso 2) el cual complementa los sistemas de control dado que se enfoca
mucho a la gestión de los riesgos

Coso 2- 2009 Se añaden 3 componentes para la gestión de riesgos

• Establecimiento objetivos: Es el primer paso potencial para una gestión de riesgos

• Identificación de eventos: Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser identificados

• Respuesta a los riesgos: Dar solución al riesgo identificado.

Actualmente los patrocinadores COSO ofrecen certificados de control Interno a los profesionales financieros, incluidos los auditores y contadores públicos.

Enlaces

http://www.auditool.org/index.php?option=com_content&view=article&id=290:el-informe-coso-i-y-ii&catid=39:trip-deals&Itemid=56

http://www.coso.org/default.htm

CONTRAPARTIDA 430 y 431

Los sistemas de información han surgido como una herramienta primordial para las entidades dado que les brindan un control y una oportunidad en la información que generan. Sin embargo, se ha venido trabajando por involucrar a la contabilidad a estos procesos tecnológicos y ha razón de esto surgen los SIC (sistemas información Contable) como una solución para involucrar la información financiera a estos sistemas computarizados.

la automatización de ciertos procesos tienden a generar una oportunidad en la información y confianza en ella por lo tanto, la implementación de los SIC ha generado que la información financiera sea utilizada mas por los administradores para la toma de decisiones, la gestión y de paso corrige oportunamente los inconvenientes que se presenten en la información contable

La equivocada implementación de los Sistemas de Información puede ocasionar las siguientes complicaciones:

• Ciberfobia: Apatía del usuario para utilizar e implementar tecnologías de información. (sistemas de información) y se da particularmente en la Etapa de Inicio de los SI.

• GIGO (Basura que entra, basura que sale): La información se encuentra expuesta a errores humanos. si entra información errada debido a una mala digitación, se genera información errada o equivocada.

• Only Virtual: Es la perdida del registro físico,existen solamente los archivos virtuales, generando inconvenientes a la Auditoria.

• Information Overload: Se refiere cuando existe mucha información que no se puede procesar y que agobia al usuario. esto puede provocar que se pierda información que puede ser material. 

• Paradoja de la Productividad:Un sistema de información que se encuentra mal implementado y que por lo tanto, no produce beneficios sino complicaciones.

Enlaces

http://www.javeriana.edu.co/personales/hbermude/contrapartida/

MAPA Conceptual CONTROL INTERNO y AUDITORIA

ENLACES

http://cuadernosdecontabilidad.javeriana.edu.co/vol1_n_7/vol1_7_6.pdf

http://cuadernosdecontabilidad.javeriana.edu.co/vol3_n_13/vol3_13_3.pdf

HARDWARE y SOFTWARE

En los ultimo años, la era de la tecnología a tenido un gran crecimiento que lo podemos medir en cuanto a la cantidad de usuarios que aplican y interactúan con aparatos tecnológicos, también lo podemos medir con el crecimiento que han presentado las empresas tecnológicas y los múltiples equipos que estas mismas desarrollan y venden en el mercado. Sin embargo, es muy común que hoy en día la gente mayor e incluso algunos jóvenes presentan dificultades para comprender dos partes que son fundamentales en la informática básica y que componen dichos equipos como son: Hardware y Software

Hardware

Es conocido como la parte física que presenta un aparato tecnológico y así como de la misma forma un equipo tecnológico presenta dos partes el Hardware tambien presenta esta misma partición por tanto, se conoce que existe un Hardware Básico y uno complementario.

• El hardware Básico esta compuesto por todos aquellos elementos que son imprescindibles para el funcionamiento de un aparato tecnológico a modo de ejemplo podemos traer: Monitor, Mouse, Memoria Ram (principal) y el CPU (cerebro) en un Computador. 

• En el Hardware Complementario encontramos todos los componentes que no son esenciales para el funcionamiento de un equipo tecnológico por ejemplo: la cámara en un computador.

Software

Es conocido como una serie de instrucciones necesarias que se dan por medio de comandos y que permiten de alguna forma hacer funcionar el hardware de los aparatos tecnológicos a su vez, este componente presenta dos clasificaciones: Software de Sistema y el Software de Aplicación

• El software del Sistema comprende el famoso y conocido sistema operativo ejemplo: windows 7,vista o OSX en Mac.

• El Software de Aplicación  se refiere a los programas que utilizan los usuarios de estos aparatos tecnológicos para realizar alguna tarea especifica. Sin embargo, si el programa o aplicación no funciona dentro de este sistema operativo la tarea ha ejecutar no podrá realizarse efectivamente por tanto, es primordial que el software de Aplicación este sobre el Software del Sistema; ejemplo : programas de contabilidad como Contavisión, Sigo, Helisa, programas de diseño como Auto CAD, Solidwork, Rinoceros, 3d max  o programas de administración de empresas como Aspel O Sap entre otros.

finalmente es primordial dejar en evidencia que tanto las aplicaciones o programas son hechos y creados para suplir las necesidades de los usuarios y que deberán ser usadas dentro de un sistema operativo establecido. Sin embargo, la forma en que los usuarios interactúan con estos software son por medio de un Hardware dado que es la parte física que se puede tocar y manipular.

Sistema de Información

Se conoce como sistema de información un conjunto de componentes o elementos esenciales que interactúan entre ellos mismo para alguna actividad ya sea para un fin empresarial o personal.

Elementos Esenciales

1. El Hardware
2. El Software
3. Los datos (información)
4. Usuario

Como todo sistema presenta una entrada, almacenamiento, procesamiento y salida de información de uso especifico.

ENLACES

https://www.youtube.com/watch?v=KIlOCsYT8Hc
https://www.youtube.com/watch?v=HEjPop-aK_w
https://www.youtube.com/watch?v=gD9ffRHyZqs